Να στείλετε μήνυμα
Μας ελάτε σε επαφή με
LEO

Τηλεφωνικό νούμερο : 13486085502

Ο κατάλογος γνωστών θυμάτων παραβιάσεων SolarWinds αυξάνεται, όπως επιτίθεται στα διανύσματα

December 30, 2020

Πιό ανήσυχα για τα άτομα για το cybersecurity στην επιχείρηση τα κέντρα δεδομένων, εντούτοις, είναι οι προμηθευτές τεχνολογίας που επέτρεψαν το συμβιβασμένο λογισμικό SolarWinds Orion στα περιβάλλοντά τους. Εκείνοι οι προμηθευτές, όσο ξέρουμε, περιλαμβάνουν τώρα τη Microsoft, τη Intel, τη Cisco, Nvidia, VMware, Belkin, και το cybersecurity σταθερό FireEye, το οποίο ήταν πρώτο για να ανακαλύψει την επίθεση.

«σκέφτομαι ότι ο αριθμός [συμβιβασμένων προμηθευτών] πρόκειται να αυξηθεί,» εν λόγω Greg Touhill, το οποίο εχρησίμευσε ως οι ΗΠΑ ομοσπονδιακό CISO κάτω από τον Πρόεδρο Barack Obama και που είναι τώρα Πρόεδρος στην ομοσπονδιακή ομάδα Appgate. «Σκέφτομαι ότι πρόκειται να βρούμε, δεδομένου ότι ξεμπερδεύουμε τον κόμβο πίσω από αυτό, ότι SolarWinds δεν ήταν το μόνο θύμα, και ότι FireEye δεν ήταν το μόνο θύμα στο διάστημά του.»

Συνολικά, μέχρι 18.000 οργανώσεις μπορεί να είχαν μεταφορτώσει τον τρωικό, σύμφωνα με SolarWinds. Ο αριθμός οργανώσεων που στοχεύουν για τις επιθέσεις που θα ακολουθούσαν την παραβίαση SolarWinds είναι άγνωστος αυτή τη στιγμή. Η Microsoft είπε ότι έχει προσδιορίσει περισσότερες από 40 οργανώσεις σε εκείνη την τελευταία κατηγορία. Δεν ονόμασε οποιους δήποτε από τους αλλά είπε ότι 44 τοις εκατό ήταν επιχειρήσεις τεχνολογίας

Άλλοι ερευνητές έχουν ερευνήσει τις τεχνικές λεπτομέρειες των malware για να προσδιορίσουν περισσότερα second-order θύματα.

Ένας κατάλογος που δημοσιεύεται όργανα από το cybersecurity που σταθερό TrueSec περιλαμβάνει τη Cisco, Deloitte, τοποθετεί Sinai το νοσοκομείο, και διάφορα άλλα νοσοκομεία, ιατρικές οργανώσεις άλλων ειδών, τοπικές κυβερνήσεις, εκπαιδευτικά ιδρύματα, επιχειρήσεις ενέργειας, και οικονομικά.

Η Cisco και Deloitte είναι επίσης στον κατάλογο συνολικά από τους ερευνητές cybersecurity σε Prevasio. Επιπλέον, ο κατάλογός τους περιλαμβάνει Ciena, Belkin, Nvidia, τη NCR, τη SAP, τη Intel, και την ψηφιακή αίσθηση.

Η εστίαση των επιτιθεμένων στους προμηθευτές επιχειρηματικής ΤΠ είναι ιδιαίτερα ανησυχητική επειδή μπόρεσε να σημάνει ότι η παραβίαση SolarWinds είναι ακριβώς ένας από πολλούς, ότι άλλοι προμηθευτές τεχνολογίας συμβιβάστηκαν ο ίδιος τρόπος SolarWinds ήταν. Θα μπορούσαν να υπάρξουν ακόμα περισσότερα διανύσματα επίθεσης αλυσιδών εφοδιασμού πίσω-καναλιών, τα οποία είναι δύσκολο να υπερασπιστούν ενάντια.

Οι ΗΠΑ Cybersecurity και το πρακτορείο ασφαλείας υποδομής έχουν προειδοποιήσει ότι οι επιτιθέμενοι μπορεί να είχαν χρησιμοποιήσει άλλα αρχικά σημεία πρόσβασης εκτός από SolarWinds.

Παραδείγματος χάριν, οι επιτιθέμενοι έχουν χρησιμοποιήσει μια ευπάθεια μηδέν-ημέρας στα διοικητικά προϊόντα πρόσβασης και ταυτότητας VMware για να επιτεθούν στα κυβερνητικά συστήματα, σύμφωνα με το NSA. Το VMware επιβεβαίωσε ότι δηλώθηκε για την ευπάθεια από το NSA και απελευθέρωσε ένα μπάλωμα νωρίτερα αυτό το μήνα. Το VMware επίσης επιβεβαίωσε ότι βρήκε τις περιπτώσεις του συμβιβασμένου λογισμικού SolarWinds στο περιβάλλον του, αλλά είπε ότι δεν είδε κανένα περαιτέρω στοιχείο της εκμετάλλευσης.

Η επίθεση VMware είχε ένα άλλο πράγμα από κοινού με SolarWinds. Οι επιτιθέμενοι χρησιμοποίησαν τα κανάλια επικοινωνίας του λογισμικού του για να αποφύγουν την ανίχνευση. Σύμφωνα με το NSA, η δραστηριότητα εκμετάλλευσης πραγματοποιήθηκε μέσα σε μια TLS-κρυπτογραφημένη σήραγγα που συνδέθηκε με την βασισμένη στο WEB διοικητική διεπαφή software.

Η Cisco επίσης έχει επιβεβαιώσει ότι βρήκε τις περιπτώσεις του συμβιβασμένου προϊόντος SolarWinds Orion στο περιβάλλον της. «Αυτή τη στιγμή, δεν υπάρχει κανένας γνωστός αντίκτυπος τα προϊόντα της Cisco, τις υπηρεσίες, ή οποιαδήποτε στοιχεία επιχείρησης,» και στη αλυσίδα εφοδιασμού του τα δίκτυα ΤΠ δεν έχουν παρουσιάσει κανένα στοιχείο του συμβιβασμού, η επιχείρηση είπε.

Αλλά αυτός δεν σημαίνει ότι δεν υπάρχουν οποιαδήποτε προβλήματα περαιτέρω επάνω η αλυσίδα.

«Εάν οι κατασκευαστές τρίτων της Cisco συνδέουν τα δίκτυα ΤΠ με την επιχείρηση της Cisco, η Cisco δεν έχει τη διαφάνεια σε εκείνα τα δίκτυα,» η επιχείρηση εν λόγω. «Η Cisco δεσμεύει ενεργά με τους προμηθευτές για να αξιολογήσει οποιεσδήποτε πιθανές επιδράσεις στην επιχείρησή τους.»

Ανανεωμένη εστίαση στην ασφάλεια αλυσιδών εφοδιασμού

Πολλές από τις φετινές επιθέσεις υψηλός-σχεδιαγράμματος, όπως το αρχείο-σπάζοντας κύμα του ransomware, εκμεταλλεύτηκαν την προθυμία των χρηστών να χτυπήσουν στις συνδέσεις τα ηλεκτρονικά ταχυδρομεία ή χρησιμοποίησαν τα κλεμμένα πιστοποιητικά για να σπάσουν στα συστήματα.

Το κανάλι επίθεσης SolarWinds δεν περιέλαβε οποιουσδήποτε συμβιβασμένους χρήστες για να κερδίσει την αρχική βάση. Αντ' αυτού, η επίθεση συνέβη εντελώς στο πίσω τέλος, μέσω μιας συμβιβασμένης διαδικασίας ενημερώσεων λογισμικού. Ένα κέντρο δεδομένων που ψάχνει τους δείκτες του συμβιβασμού στις ύποπτες συμπεριφορές χρηστών, malware μεταφορτώνει στις συσκευές χρηστών, ή στο ασυνήθιστο δίκτυο η δραστηριότητα δεν θα είχε τίποτα που βρίσκει – ακόμη και δεδομένου ότι οι επιτιθέμενοι χρησιμοποίησαν την πλατφόρμα SolarWinds Orion για να ερευνήσουν το περιβάλλον.

Στην πραγματικότητα, FireEye ανακάλυψε μόνο την παραβίαση όταν προσπάθησε να χρησιμοποιήσει ένας επιτιθέμενος τα κλεμμένα πιστοποιητικά για να καταχωρήσει μια νέα συσκευή για τη multi-factor επικύρωση.

«Επίασε το MFA το, εξέθεσε τον υπάλληλο το κλεμμένο πιστοποιητικό, αυτό δεν θα είχε ανακαλυφθεί,» η Liz Μίλερ, VP και ο κύριος αναλυτής στην έρευνα αστερισμού, εν λόγω. «Θα παρείχε ακόμα τις ανοιχτές πόρτες σε οποιεσδήποτε και όλες.»

Touhill του Appgate συστήνει ότι τα κέντρα δεδομένων που χρησιμοποιούν τα προϊόντα από SolarWinds, από τη Cisco, από VMware, ή από άλλες ενδεχομένως συμβιβασμένες επιχειρήσεις πρέπει να ρίξουν μια ματιά σε αυτό που η πιθανή έκθεση κινδύνου τους είναι.

«Ρίξτε μια ματιά σε εκείνους τους προμηθευτές που στηρίζεστε,» είπε DCK. «Πρέπει να είστε στη συνομιλία με τους προμηθευτές σας και να δείτε εάν ακολουθούν τις καλύτερες πρακτικές, όπως τον έλεγχο της ακεραιότητας του κώδικά τους και τον έλεγχο των συστημάτων τους επανειλημμένα για οποιεσδήποτε ενδείξεις του συμβιβασμού.»

Και αυτή δεν είναι μια one-time συνομιλία, πρόσθεσε. «Ένας-και-καμένος δεν πρόκειται να είναι αρκετά καλός.»

Χρήσιμη στους διευθυντές ασφάλειας κέντρων δεδομένων στη συνέπεια SolarWinds η παραβίαση είναι το ποσό προσοχής που η επίθεση έχει λάβει από τους ερευνητές ασφάλειας.

«Ξέρουμε πώς συμβιβάστηκε και τι να ψάξει,» Ηλεία Kolochenko, CEO σε ImmuniWeb, μια εταιρία cybersecurity, είπε. «Αλλά είμαι βέβαιος ότι SolarWinds δεν είναι η πιό αμελής επιχείρηση σε όλο τον κόσμο. Είναι λογικό να υποτεθεί ότι δεν είναι το μόνο θύμα.»

Η διαφορά είναι ότι κανένας δεν ξέρει ποιοι άλλοι προμηθευτές ΤΠ έχουν χαραχτεί, και τι εκείνοι οι δείκτες του συμβιβασμού είναι.

Το ImmuniWeb ερεύνησε πρόσφατα περίπου 400 σημαντικές επιχειρήσεις cybersecurity και διαπίστωσε ότι 97 τοις εκατό εξέθεσαν τις διαρροές στοιχείων ή άλλα γεγονότα ασφάλειας στο σκοτεινό Ιστό – καθώς επίσης και 91 επιχειρήσεις με τις εκμεταλλεύσιμες αδυναμίες στην ασφάλεια ιστοχώρου. Από το Σεπτέμβριο, όταν δημοσιεύθηκε η έκθεσή της, 26 τοις εκατό εκείνοι αποσπάστηκαν ακόμα.

Οι ερευνητές βρήκαν επίσης περισσότερα από 100.000 υψηλού κινδύνου γεγονότα, όπως τα πιστοποιητικά σύνδεσης, διαθέσιμα στο σκοτεινό Ιστό. «SolarWinds είναι πιθανώς ακριβώς η κορυφή του παγόβουνου του συμβιβασμού των επιχειρήσεων τεχνολογίας σε όλο τον κόσμο,» ειπωμένο Kolochenko DCK.

«Δεν μπορείτε να εμπιστευθείτε καθενός, ούτε ο προμηθευτής ασφάλειάς σας,» Holger Mueller, ένας αναλυτής στην έρευνα αστερισμού, είπατε. Η μόνη λύση είναι αναθεώρηση κώδικα. «Αλλά ποιος μπορεί και θέλει να αναθεωρήσει το κωδικό πηγής των προμηθευτών ασφάλειας;»

Αυτό που να προκύψει στην απάντηση είναι ένα νέο είδος προμηθευτή – ένας που παρέχει τα εργαλεία που ελέγχουν το λογισμικό ασφάλειας για το malware, είπε.

Σιλό

Η παραβίαση SolarWinds επεξηγεί ένα άλλο πρόβλημα που αντιμετωπίζεται από την ασφάλεια ΤΠ κέντρων δεδομένων – ότι πρέπει να λειτουργήσει πιό στενά με τις ευρύτερες ομάδες ΤΠ.

Σύμφωνα με μια πρόσφατη έρευνα από Ponemon ίδρυμα εξ ονόματος Devo, η έλλειψη διαφάνειας στην υποδομή ασφάλειας ΤΠ είναι το τοπ εμπόδιο στην αποτελεσματικότητα των κέντρων λειτουργίας ασφάλειας, που προσδιορίζεται ως πρόβλημα από 70 τοις εκατό των επαγγελματιών ΤΠ και ασφάλειας. Και 64 τοις εκατό λένε ότι η τύρφη εκδίδει και τις διαδικασίες είναι ένα τοπ εμπόδιο στην αποτελεσματικότητα.

«Αυτή η επίθεση πρέπει πραγματικά να είναι μια ογκώδης wakeup κλήση για τις ομάδες ΤΠ και ασφάλειας για να είναι πολύ ευθυγραμμισμένη,» Μίλερ του αστερισμού εν λόγω.

Η έλλειψη διαφάνειας το καθιστά δύσκολο να ανιχνεύσει και να αποκριθεί στις απειλές. Σύμφωνα με την έρευνα Ponemon, 39 τοις εκατό των οργανώσεων είπαν ότι πήρε, κατά μέσο όρο, «μήνες ή ακόμα και έτη» για να αποκριθεί σε ένα γεγονός ασφάλειας.

«Αυτό είναι ακριβώς το χάος και οι επιτιθέμενοι συμπεριφορών, ειδικά περίπλοκοι, στηρίζεται,» το Μίλερ που λέεται DCK.

Χρόνος για υπεράσπιση σε βάθος και μηά εμπιστοσύνη

Η παραβίαση SolarWinds αποδεικνύει άλλη μια φορά ότι καθεμία μπορεί να χαραχτεί, από τα περισσότερα συνειδητά κυβερνητικά πρακτορεία ασφάλειας στους περισσότερους συνειδητούς προμηθευτές cybersecurity ασφάλειας.

Είναι σχετικά εύκολο για τους περίπλοκους επιτιθεμένους να μείνουν κάτω από το ραντάρ.

«Όταν κάνω κόκκινος, δεν σκέφτομαι ότι έχω πιαστεί πάντα έως ότου έχω πάει να κάνω κάποια πραγματικά προφανή δράση ή να κάνω κάποιο θόρυβο,» ο εν λόγω Δαβίδ Wolpoff, CTO και ομο-ιδρυτής σε Randori, το οποίο σπάζει στα δίκτυα των επιχειρήσεων για μια διαβίωση.

Αυτός δεν σημαίνει οι διευθυντές ότι ασφάλειας δεν πρέπει να προσπαθήσουν να ανιχνεύσουν τις παραβιάσεις.

«Φυσικά, δεν είμαστε ασφαλείς,» Wolpoff εν λόγω. «Δεν πρόκειται ποτέ να είμαστε ασφαλείς. Αλλά κάνουμε πάντα αυτές τις ανταλλαγές στη ζωή, και cyber δεν είναι κανένας διαφορετικός. Πόσο κίνδυνο είστε πρόθυμοι να δεχτείτε από τους συνεργάτες και τους προμηθευτές σας; Και εάν κάτι πηγαίνει στραβά, ποιος είναι ασφαλής σας;»

Παραδείγματος χάριν, είπε, κάθε επαγγελματίας ασφάλειας που μιλά λέει ότι πιστεύουν στην υπόθεση του συμβιβασμού και της υπεράσπισης σε βάθος. «Αλλά αφ' ετέρου κανένας δεν πηγαίνει και λαμβάνει εκείνα τα μέτρα.»

Τα κέντρα δεδομένων που δεν έχουν κινηθεί ακόμα προς το πρότυπο ασφάλειας μηδέν-εμπιστοσύνης πρέπει να αρχίσουν τα σχέδια, διάφοροι εμπειρογνώμονες είπαν.

«Ειλικρινά, σκέφτομαι ότι πολλές επιχειρήσεις είναι πρώην στην εφαρμογή μηάς εμπιστοσύνης, και σκέφτομαι που είμαι ένα από τα πρώτα -πρώτα βήματα,» εν λόγω Touhill Appgate.

«Εάν δεν έχετε υιοθετήσει ήδη μια στάση μηδέν-εμπιστοσύνης πέρα από τη δικτύωση κέντρων δεδομένων σας, τώρα θα ήταν ένας εξαιρετικός χρόνος να αποκτηθεί αυτός στο εργαλείο,» το εν λόγω Μίλερ.

Τα όρη του παιχνιδιού έχουν αλλάξει, ο εν λόγω Mike Lloyd, CTO σε RedSeal, μια εταιρία cybersecurity.

Στο παρελθόν, η ερώτηση ότι οι διευθυντές ασφάλειας κέντρων δεδομένων θα ρωτιόνταν ήταν, «πώς μειώνω το σκοτεινό διάστημα που δεν μπορώ να δω;» Τώρα, πρέπει να ρωτηθούν, «πώς περιέχω τη ζημία που προκαλείται από τα πράγματα Ι τη χρήση για να εξετάσω το δίκτυό μου;»

«Αυτό είναι μια βέρτιγκο-προκαλώντας προοπτική,» εν λόγω Lloyd. «Εάν δεν μπορείτε να εμπιστευθείτε το λογισμικό ελέγχου σας, πώς ελέγχετε τίποτα;»